هکرهای کره شمالی شرکت‌های ارزهای دیجیتال را در هک گسترده زنجیره تامین 3CX هدف قرار می‌دهند – در اینجا چه اتفاقی افتاد

شرکت امنیت سایبری روسیه کسپرسکی نسبت به شکل جدیدی از حمله به شرکت‌های ارزهای دیجیتال هشدار داده است که می‌گوید با “دقت جراحی” توسط هکرها با استفاده از نرم‌افزارهای خراب انجام می‌شود.

کسپرسکی تحقیقات چندین شرکت متمرکز بر کریپتو را به عنوان قربانیان حمله زنجیره تامین نرم افزار 3CX در هفته گذشته شناسایی کرد.

در حالی که نام شرکت های مورد نظر را ذکر نکرد، نشان داد که آنها در “آسیای غربی” مستقر هستند.

این حمله که گمان می‌رود از طرف دولت کره شمالی انجام شده باشد، شامل خراب کردن اپلیکیشن VoIP پرکاربرد، 3CX، برای فشار دادن کد هکرها بر روی ماشین‌های قربانیان بود.

هکرها شکست خوردند

گئورگی کوچرین، محقق تیم تحلیلگران امنیتی GreAT کسپرسکی، گفت که این نوع حمله “بسیار رایج شده است” و توضیح داد:

“در طول حملات زنجیره تامین، عامل تهدید، شناسایی قربانیان را انجام می دهد، اطلاعات را جمع آوری می کند، سپس آنها این اطلاعات را فیلتر می کنند و قربانیان را برای استقرار بدافزار مرحله دوم انتخاب می کنند.”

این فیلتر برای کمک به مهاجمان برای جلوگیری از شناسایی است، با توجه به اینکه شناسایی بدافزار مرحله دوم برای بسیاری از قربانیان آسان‌تر می‌شود.

با این حال، به نظر می رسد در اینجا چیزی اشتباه رخ داده است.

کوچرین گفت که حمله زنجیره تامین 3CX حداقل در مقایسه با سایرین به سرعت شناسایی شد. شرکت های امنیتی دوست دارند CrowdStrike و SentinelOne نصب بدافزار اولیه را در هفته گذشته، کمتر از یک ماه پس از استقرار آن، شناسایی کرد.

کوچرین می‌گوید: «آنها سعی کردند یواشکی باشند، اما شکست خوردند. ایمپلنت های مرحله اول آنها کشف شد.

CrowdStrike و SentinelOne هکرهای کره شمالی را به‌عنوان مهاجمانی شناسایی کردند که نرم‌افزار نصب‌کننده 3CX را که توسط 600000 سازمان در سراسر جهان مورد استفاده قرار می‌گرفت، در Wired به خطر انداختند.

کسپرسکی همچنین دریافت که هکرها قربانیانی را که آنها آلوده کرده بودند غربال می‌کردند تا «کمتر از 10 دستگاه» متصل به شرکت‌های رمزنگاری را شناسایی کرده و عمداً هدف قرار دهند. این حداقل داده هایی است که تاکنون جمع آوری شده است.

به نظر می رسد که هکرهای تحت حمایت دولتی از زنجیره تامین نرم افزار برای آلوده کردن هزاران سازمان سوء استفاده می کنند، اما پس از آن فقط بر روی چند قربانی تمرکز می کنند.

از کوشرین نقل شده است که

«این همه فقط برای به خطر انداختن گروه کوچکی از شرکت‌ها بود، شاید نه فقط در حوزه ارزهای دیجیتال، اما آنچه می‌بینیم این است که یکی از منافع مهاجمان شرکت‌های ارزهای دیجیتال است. […] شرکت‌های ارزهای دیجیتال باید به‌ویژه نگران این حمله باشند، زیرا آنها اهداف احتمالی هستند و باید سیستم‌های خود را برای به خطر انداختن بیشتر اسکن کنند.”

اما از آنجایی که مهاجمان دستگیر شدند، هنوز مشخص نیست که آیا این کمپین موفق بوده است یا خیر. کوچرین گفت که کسپرسکی تاکنون هیچ مدرکی دال بر سرقت رمزنگاری واقعی از شرکت‌هایی که با این بدافزار خاص هدف قرار گرفته‌اند، ندیده است.

شرکت‌های بیشتر، از جمله آن‌هایی که خارج از صنعت کریپتو هستند، احتمالاً اهداف آینده هستند. تام هگل، محقق امنیتی SentinelOne، اضافه کرد که

«تئوری فعلی در این مرحله این است که مهاجمان در ابتدا شرکت‌های رمزنگاری را هدف قرار دادند تا وارد آن سازمان‌های با ارزش بالا شوند. […] من می‌خواهم حدس بزنم که وقتی آنها موفقیت این کار و انواع شبکه‌هایی را که در آن حضور داشتند، دیدند، احتمالاً اهداف دیگری وارد عمل شده‌اند.”

وی افزود که وضعیت “بسیار سریع آشکار می شود” و هنوز اطلاعات بیشتری در مورد قربانیان و اهداف احتمالی وجود دارد. هگل گفت: «اما از نقطه نظر مهاجم، اگر تنها کاری که آنها انجام دادند شرکت‌های رمزنگاری را هدف قرار دادند، این یک فرصت هدر رفت چشمگیر بود.»

یک سوم از کاربران کریپتو قربانی کلاهبرداری شدند

در همین حال، کسپرسکی در اکتبر سال گذشته از 2000 آمریکایی نظرسنجی کرد و دریافت که یک سوم از کسانی که دارای رمزنگاری هستند نیز سرقت آن را تجربه کرده اند. میانگین ارزش این سرقت 97583 دلار بوده است.

یک سوم گفتند که قربانی یک وب سایت جعلی مرتبط با رمزارز یا کلاهبرداری سرمایه گذاری شده اند. در میان قربانیان، 19 درصد هویت خود را به سرقت برده اند، در حالی که 27 درصد مشاهده کرده اند که اطلاعات شخصی و پول از حساب های بانکی خود به سرقت رفته است.

مارکو ریورو، محقق ارشد امنیتی در Kaspersky GreAT، گفت که «این داده‌های نظرسنجی نشان می‌دهد که بسیاری از مردم رمزارز خود را به سرقت می‌برند و حتی سرقت هویت را تجربه می‌کنند».

ریورو توصیه می‌کند که کاربران باید مراقب کلاهبرداری‌های فیشینگ و وب‌سایت‌های جعلی باشند، از هرگونه تدابیر امنیتی اضافی مانند احراز هویت چند عاملی استفاده کنند و از رمزهای عبور قوی و منحصر به فرد در همه حساب‌ها استفاده کنند.

در همین حال، هکرها سرقت رمزنگاری برای رژیم کره شمالی پدیده جدیدی نیست. در زیر می توانید در مورد آن بیشتر بخوانید.

____

بیشتر بدانید:

– گزارش جدید نشان می دهد که چگونه هکرهای کره شمالی از محاسبات ابری برای شستشوی غارت رمزنگاری استفاده می کنند – آیا باید نگران باشید؟
– آدرس های کیف پول مرتبط با 200 میلیون دلار اکسپلویت اویلر و هک Axie Infinity به طور مرموزی با یکدیگر ارتباط برقرار می کنند – آیا هکرهای کره شمالی در آن دخیل هستند؟

– سئول: تحریم ها ممکن است در برابر هک های کریپتو کره شمالی بی اثر باشد
– تهدید باج افزار جدید کره شمالی برای “موسسات اصلی”، می گویند کره جنوبی، ایالات متحده شناسایی شد

– هکرهای وب 3 باهوش تر می شوند: در اینجا نحوه ایمن ماندن آورده شده است
– آیا ارز دیجیتال برای سرمایه گذاری در سال 2023 ایمن است؟ چگونه از کلاهبرداری های رمزنگاری جلوگیری کنیم